会员服务
边缘 · 数据平面 · 零信任 · 攻击 · 设计 ·
2 月 9 日
Rethinking IPv6 Defense: A Unified Edge-Centric Zero-Trust Data-Plane Architecture
翻译:重新思考IPv6防御:一种统一的以边缘为中心的零信任数据平面架构
Walid Aljoby,Mohammed Alzayani,Md. Kamrul Hossain,Khaled A. Harras
Walid Aljoby,Mohammed Alzayani,Md. Kamrul Hossain,Khaled A. Harras

IPv6 dependability is increasingly inseparable from IPv6 security: Neighbor Discovery (ND), Router Advertisements (RA), and ICMPv6 are essential for correct operation yet expose a broad attack surface for spoofing and flooding. Meanwhile, IPv6's massive address space breaks per-IP reputation and makes many defenses either non-scalable or narrowly scoped (e.g., only internal threats, only RA abuse, or only volumetric floods). We propose a zero-trust edge architecture implemented in a single programmable data-plane pipeline that unifies four modules: external spoofing, internal spoofing, external flooding, and internal flooding. A key design choice is to enforce identity plausibility before rate plausibility: stateless per-packet validation filters spoofed traffic early so that time-window statistics for flooding operate on credible identities. We outline a concrete P4 design (prefix Hop-Limit bands, DAD-anchored address-port bindings, and Count-Min Sketch windowed counting) and evaluate it across a systematic 15-scenario suite spanning single-, dual-, and multi-vector compositions. We report results from a BMv2 prototype and validate the same pipeline on a Netronome NFP-4000 SmartNIC, and we discuss limitations and open directions.


翻译:IPv6的可靠性日益与其安全性密不可分:邻居发现(ND)、路由器通告(RA)和ICMPv6对于正确运行至关重要,但也为欺骗和泛洪攻击暴露了广泛的攻击面。与此同时,IPv6庞大的地址空间破坏了基于单个IP的信誉机制,使得许多防御措施要么无法扩展,要么适用范围狭窄(例如,仅针对内部威胁、仅针对RA滥用或仅针对流量泛洪)。我们提出了一种零信任边缘架构,该架构在单个可编程数据平面流水线中实现,统一了四个模块:外部欺骗、内部欺骗、外部泛洪和内部泛洪。一个关键的设计选择是在速率合理性之前强制执行身份合理性:无状态的每包验证可尽早过滤欺骗流量,从而使针对泛洪的基于时间窗口的统计能够基于可信的身份进行操作。我们概述了一个具体的P4设计(前缀跳数限制带、基于DAD的地址-端口绑定以及Count-Min Sketch窗口计数),并通过一个系统的15种场景套件(涵盖单向量、双向量和多向量组合)对其进行了评估。我们报告了基于BMv2原型的实验结果,并在Netronome NFP-4000 SmartNIC上验证了同一流水线,最后讨论了该方案的局限性及未来的研究方向。
0
下载
关闭预览

相关内容

《面向多无线接入技术物联网的零信任架构:异构无线网络环境中的信任边界管理》
《面向多无线接入技术物联网的零信任架构:异构无线网络环境中的信任边界管理》
专知会员服务
10+阅读 · 2月20日
中文版 | 强化国防以数据为中心的网络安全与零信任协作
中文版 | 强化国防以数据为中心的网络安全与零信任协作
专知会员服务
12+阅读 · 2025年5月9日
《重新思考网络安全决策: 在不确定情况下利用认知启发法》2024最新论文
《重新思考网络安全决策: 在不确定情况下利用认知启发法》2024最新论文
专知会员服务
26+阅读 · 2024年2月1日
《自动化的网络防御:综述》2023最新32页长综述
《自动化的网络防御:综述》2023最新32页长综述
专知会员服务
33+阅读 · 2023年6月19日
《无人机蜂群智能系统的 IPV6 区块链数据通信》美海军2022最新90页论文
《无人机蜂群智能系统的 IPV6 区块链数据通信》美海军2022最新90页论文
专知会员服务
84+阅读 · 2022年12月15日
推荐!《用于网络防御的深度机器学习》【概念解读、事件简史、深度学习、面临挑战、军事应用】北约科技组织20余位作者2022最新126页技术报告
推荐!《用于网络防御的深度机器学习》【概念解读、事件简史、深度学习、面临挑战、军事应用】北约科技组织20余位作者2022最新126页技术报告
专知会员服务
87+阅读 · 2022年10月26日
《定义、测量和分析防御性网络战背景下的可防御性》2022最新106页论文,美国海军研究生院
《定义、测量和分析防御性网络战背景下的可防御性》2022最新106页论文,美国海军研究生院
专知会员服务
34+阅读 · 2022年10月25日
《网络拦截--博弈论方法》美国MITRE公司
《网络拦截--博弈论方法》美国MITRE公司
专知会员服务
33+阅读 · 2022年8月19日
【书籍】网络安全《移动目标防御 II:博弈论和对抗性建模的应用》210页,Moving Target Defense II:Application of Game Theory and Adversarial Modeling
【书籍】网络安全《移动目标防御 II:博弈论和对抗性建模的应用》210页,Moving Target Defense II:Application of Game Theory and Adversarial Modeling
专知会员服务
66+阅读 · 2022年4月14日
《政务外网IPv6演进技术白皮书(2021)》发布
专知会员服务
27+阅读 · 2021年8月6日
《使用网络数字孪生提高军事任务网络弹性》2022最新论文
《使用网络数字孪生提高军事任务网络弹性》2022最新论文
专知
32+阅读 · 2022年11月12日
《用于网络防御的深度机器学习》【概念解读、事件简史、深度学习、面临挑战、军事应用】20余位作者2022最新126页技术报告
《用于网络防御的深度机器学习》【概念解读、事件简史、深度学习、面临挑战、军事应用】20余位作者2022最新126页技术报告
专知
11+阅读 · 2022年10月28日
推荐!【中文版】《指挥、控制、通信和情报(C3I)系统安全性综述:漏洞、攻击和对策》35页最新论文
推荐!【中文版】《指挥、控制、通信和情报(C3I)系统安全性综述:漏洞、攻击和对策》35页最新论文
专知
40+阅读 · 2022年7月27日
【经典书】网络安全《移动目标防御 II:博弈论和对抗性建模的应用》210页
【经典书】网络安全《移动目标防御 II:博弈论和对抗性建模的应用》210页
专知
17+阅读 · 2022年4月16日
【综述】深度学习攻防对抗在图像数据、图数据以及文本数据上的应用
【综述】深度学习攻防对抗在图像数据、图数据以及文本数据上的应用
专知
14+阅读 · 2019年10月31日
被动DNS,一个被忽视的安全利器
被动DNS,一个被忽视的安全利器
运维帮
11+阅读 · 2019年3月8日
介绍WAF以及过滤机制
介绍WAF以及过滤机制
黑白之道
22+阅读 · 2019年2月5日
综述:DenseNet—Dense卷积网络(图像分类)
综述:DenseNet—Dense卷积网络(图像分类)
专知
86+阅读 · 2018年11月26日
36页最新《深度学习在推荐系统上的应用》综述论文,209篇参考论文
36页最新《深度学习在推荐系统上的应用》综述论文,209篇参考论文
专知
24+阅读 · 2018年9月6日
NetworkMiner - 网络取证分析工具
NetworkMiner - 网络取证分析工具
黑白之道
16+阅读 · 2018年6月29日
面向网络系统的一致性安全隐私分析与防护机制设计
国家自然科学基金
1+阅读 · 2017年12月31日
面向网络虚拟化的网络层可信身份验证机制研究
国家自然科学基金
0+阅读 · 2017年12月31日
数据中心网络中延时敏感的传输控制协议
国家自然科学基金
0+阅读 · 2015年12月31日
异构密集无线网络的安全容量研究
国家自然科学基金
0+阅读 · 2015年12月31日
信息中心网络问责机制和评价方法研究
国家自然科学基金
0+阅读 · 2015年12月31日
基于软件定义无线网络的虚拟多径攻击检测与防御技术研究
国家自然科学基金
1+阅读 · 2015年12月31日
网络空间安全关键技术研究
国家自然科学基金
20+阅读 · 2015年12月31日
基于免疫机制的无线传感器网络攻击协同检测研究与设计
国家自然科学基金
0+阅读 · 2015年12月31日
基于不完全信息博弈的异构无线网络物理层安全
国家自然科学基金
1+阅读 · 2014年12月31日
物联网关键技术RFID系统安全测试的仿真架构.评估模型和受攻击模式的研究和实践
国家自然科学基金
2+阅读 · 2014年12月31日
Unknown Attack Detection in IoT Networks using Large Language Models: A Robust, Data-efficient Approach
Arxiv
0+阅读 · 2月12日
Architecting Trust: A Framework for Secure IoT Systems Through Trusted Execution and Semantic Middleware
Arxiv
0+阅读 · 2月11日
Efficient IoT Intrusion Detection with an Improved Attention-Based CNN-BiLSTM Architecture
Arxiv
0+阅读 · 2月11日
Zero Trust for Multi-RAT IoT: Trust Boundary Management in Heterogeneous Wireless Network Environments
Arxiv
0+阅读 · 2月9日
Framework for Integrating Zero Trust in Cloud-Based Endpoint Security for Critical Infrastructure
Arxiv
0+阅读 · 2月9日
SafeDialBench: A Fine-Grained Safety Evaluation Benchmark for Large Language Models in Multi-Turn Dialogues with Diverse Jailbreak Attacks
Arxiv
0+阅读 · 2月7日
SynAT: Enhancing Security Knowledge Bases via Automatic Synthesizing Attack Tree from Crowd Discussions
Arxiv
0+阅读 · 2月5日
RedVisor: Reasoning-Aware Prompt Injection Defense via Zero-Copy KV Cache Reuse
Arxiv
0+阅读 · 2月2日
VENENA: A Deceptive Visual Encryption Framework for Wireless Semantic Secrecy
Arxiv
0+阅读 · 1月19日
Scalable IP Mimicry: End-to-End Deceptive IP Blending to Overcome Rectification and Scale Limitations of IP Camouflage
Arxiv
0+阅读 · 1月16日
VIP会员
文章信息
前往arXiv
下载PDF
相关主题
边缘
数据平面
零信任
攻击
设计
相关VIP内容
《面向多无线接入技术物联网的零信任架构:异构无线网络环境中的信任边界管理》
《面向多无线接入技术物联网的零信任架构:异构无线网络环境中的信任边界管理》
专知会员服务
10+阅读 · 2月20日
中文版 | 强化国防以数据为中心的网络安全与零信任协作
中文版 | 强化国防以数据为中心的网络安全与零信任协作
专知会员服务
12+阅读 · 2025年5月9日
《重新思考网络安全决策: 在不确定情况下利用认知启发法》2024最新论文
《重新思考网络安全决策: 在不确定情况下利用认知启发法》2024最新论文
专知会员服务
26+阅读 · 2024年2月1日
《自动化的网络防御:综述》2023最新32页长综述
《自动化的网络防御:综述》2023最新32页长综述
专知会员服务
33+阅读 · 2023年6月19日
《无人机蜂群智能系统的 IPV6 区块链数据通信》美海军2022最新90页论文
《无人机蜂群智能系统的 IPV6 区块链数据通信》美海军2022最新90页论文
专知会员服务
84+阅读 · 2022年12月15日
推荐!《用于网络防御的深度机器学习》【概念解读、事件简史、深度学习、面临挑战、军事应用】北约科技组织20余位作者2022最新126页技术报告
推荐!《用于网络防御的深度机器学习》【概念解读、事件简史、深度学习、面临挑战、军事应用】北约科技组织20余位作者2022最新126页技术报告
专知会员服务
87+阅读 · 2022年10月26日
《定义、测量和分析防御性网络战背景下的可防御性》2022最新106页论文,美国海军研究生院
《定义、测量和分析防御性网络战背景下的可防御性》2022最新106页论文,美国海军研究生院
专知会员服务
34+阅读 · 2022年10月25日
《网络拦截--博弈论方法》美国MITRE公司
《网络拦截--博弈论方法》美国MITRE公司
专知会员服务
33+阅读 · 2022年8月19日
【书籍】网络安全《移动目标防御 II:博弈论和对抗性建模的应用》210页,Moving Target Defense II:Application of Game Theory and Adversarial Modeling
【书籍】网络安全《移动目标防御 II:博弈论和对抗性建模的应用》210页,Moving Target Defense II:Application of Game Theory and Adversarial Modeling
专知会员服务
66+阅读 · 2022年4月14日
《政务外网IPv6演进技术白皮书(2021)》发布
专知会员服务
27+阅读 · 2021年8月6日
热门VIP内容
相关资讯
《使用网络数字孪生提高军事任务网络弹性》2022最新论文
《使用网络数字孪生提高军事任务网络弹性》2022最新论文
专知
32+阅读 · 2022年11月12日
《用于网络防御的深度机器学习》【概念解读、事件简史、深度学习、面临挑战、军事应用】20余位作者2022最新126页技术报告
《用于网络防御的深度机器学习》【概念解读、事件简史、深度学习、面临挑战、军事应用】20余位作者2022最新126页技术报告
专知
11+阅读 · 2022年10月28日
推荐!【中文版】《指挥、控制、通信和情报(C3I)系统安全性综述:漏洞、攻击和对策》35页最新论文
推荐!【中文版】《指挥、控制、通信和情报(C3I)系统安全性综述:漏洞、攻击和对策》35页最新论文
专知
40+阅读 · 2022年7月27日
【经典书】网络安全《移动目标防御 II:博弈论和对抗性建模的应用》210页
【经典书】网络安全《移动目标防御 II:博弈论和对抗性建模的应用》210页
专知
17+阅读 · 2022年4月16日
【综述】深度学习攻防对抗在图像数据、图数据以及文本数据上的应用
【综述】深度学习攻防对抗在图像数据、图数据以及文本数据上的应用
专知
14+阅读 · 2019年10月31日
被动DNS,一个被忽视的安全利器
被动DNS,一个被忽视的安全利器
运维帮
11+阅读 · 2019年3月8日
介绍WAF以及过滤机制
介绍WAF以及过滤机制
黑白之道
22+阅读 · 2019年2月5日
综述:DenseNet—Dense卷积网络(图像分类)
综述:DenseNet—Dense卷积网络(图像分类)
专知
86+阅读 · 2018年11月26日
36页最新《深度学习在推荐系统上的应用》综述论文,209篇参考论文
36页最新《深度学习在推荐系统上的应用》综述论文,209篇参考论文
专知
24+阅读 · 2018年9月6日
NetworkMiner - 网络取证分析工具
NetworkMiner - 网络取证分析工具
黑白之道
16+阅读 · 2018年6月29日
相关论文
Unknown Attack Detection in IoT Networks using Large Language Models: A Robust, Data-efficient Approach
Arxiv
0+阅读 · 2月12日
Architecting Trust: A Framework for Secure IoT Systems Through Trusted Execution and Semantic Middleware
Arxiv
0+阅读 · 2月11日
Efficient IoT Intrusion Detection with an Improved Attention-Based CNN-BiLSTM Architecture
Arxiv
0+阅读 · 2月11日
Zero Trust for Multi-RAT IoT: Trust Boundary Management in Heterogeneous Wireless Network Environments
Arxiv
0+阅读 · 2月9日
Framework for Integrating Zero Trust in Cloud-Based Endpoint Security for Critical Infrastructure
Arxiv
0+阅读 · 2月9日
SafeDialBench: A Fine-Grained Safety Evaluation Benchmark for Large Language Models in Multi-Turn Dialogues with Diverse Jailbreak Attacks
Arxiv
0+阅读 · 2月7日
SynAT: Enhancing Security Knowledge Bases via Automatic Synthesizing Attack Tree from Crowd Discussions
Arxiv
0+阅读 · 2月5日
RedVisor: Reasoning-Aware Prompt Injection Defense via Zero-Copy KV Cache Reuse
Arxiv
0+阅读 · 2月2日
VENENA: A Deceptive Visual Encryption Framework for Wireless Semantic Secrecy
Arxiv
0+阅读 · 1月19日
Scalable IP Mimicry: End-to-End Deceptive IP Blending to Overcome Rectification and Scale Limitations of IP Camouflage
Arxiv
0+阅读 · 1月16日
相关基金
面向网络系统的一致性安全隐私分析与防护机制设计
国家自然科学基金
1+阅读 · 2017年12月31日
面向网络虚拟化的网络层可信身份验证机制研究
国家自然科学基金
0+阅读 · 2017年12月31日
数据中心网络中延时敏感的传输控制协议
国家自然科学基金
0+阅读 · 2015年12月31日
异构密集无线网络的安全容量研究
国家自然科学基金
0+阅读 · 2015年12月31日
信息中心网络问责机制和评价方法研究
国家自然科学基金
0+阅读 · 2015年12月31日
基于软件定义无线网络的虚拟多径攻击检测与防御技术研究
国家自然科学基金
1+阅读 · 2015年12月31日
网络空间安全关键技术研究
国家自然科学基金
20+阅读 · 2015年12月31日
基于免疫机制的无线传感器网络攻击协同检测研究与设计
国家自然科学基金
0+阅读 · 2015年12月31日
基于不完全信息博弈的异构无线网络物理层安全
国家自然科学基金
1+阅读 · 2014年12月31日
物联网关键技术RFID系统安全测试的仿真架构.评估模型和受攻击模式的研究和实践
国家自然科学基金
2+阅读 · 2014年12月31日
Top
微信扫码咨询专知VIP会员
Top